lsass.exe versucht aufs Inet zuzugreifen

#76 Deine Auflistung der Dateieigenschaften entspricht weitgehendst denen auf meinem Rechner incl. der ungewöhnlichen Uhrzeit.

Zitat

"auf ungewöhnliche Weise auf das Internet zugreifen will"

Da wäre die genaue Meldung incl. IP-Adresse nützlich; evtl. findest Du das noch im Firewall-Log.

Malware, die im Zusammenhang mit der lsass.exe stehen, doer deren Namen annehmen sind weitgehendst bekannt und ein aktueller Virenscanner hätte eine Meldung ausgegeben, wenn denn eine Infektion vorliegen würde.
Mehr Infos zu diesem Prozess: http://www.liutilities.com/products/wintaskspro/processlibrary/lsass/

Ein aktuelles Beispiel für eine infizierte Datei mit dem Namen lsass.exe unter http://board.protecus.de/t9512.htm.
Auffälligstes Merkmal ist der Pfad. Regulär unter Windows(bzw.Winnt)/system32 liegt sie hier direkt im Windows-Ordner.

Hier mal eine Auflistung (nicht komplett !) der Malware, bei der der Dateiname lsass.exe mit im Spiel ist:
Backdoor.IRC.Ratsou.B
bekannt auch als:
Trojan.BAT.Passer.a [Kaspersky], IRC/Flood.bat [McAfee], BAT_RATSOU.B [Trend], W32/IRCFLood -G [Sophos]
Backdoor.IRC.Aladinz.F
oder : Win32.Randon.AC [Kaspersky]
W32.Randex.AR
W32.Nimos.Worm
__________
Durchsuchen --> Aussuchen --> Untersuchen

#77 @Joschi:
hier die firewallmeldungen (habe extra noch einmal hochgefahren, um die RICHTIGE Meldung auszusortieren:

Zitat

"McAfee Firewall hat ein abgehendes UDP-Paket blockiert. Die mit dem Verkehr verknüpfte Remote-Adresse war 194.25.2.129. Der Remote-Port war 53 [DNS]. Der lokale Port auf Ihrem PC war 1032 [ephemer]. Der Netzwerkadapter für den Verkehr war "WAN-Miniport (IP)".

Genau eine Sekunde vorher: "McAfee Firewall hat ein abgehendes UDP-Paket blockiert.

Zitat

Die mit dem Verkehr verknüpfte Remote-Adresse war 212.185.252.73. Der Remote-Port war 53 [DNS]. Der lokale Port auf Ihrem PC war 1032 [ephemer]. Der Netzwerkadapter für den Verkehr war "WAN-Miniport (IP)".

Die Adresse "212" gehört zur Deutschen Telekom, Nürnberg, keine "angehängten" Weiterleitungen, die "194" der DTag (ebenfalls Telekom), Nürnberg. Beide "exe-Dateien" wurde gescannt (gestern erst ein neues update von Mcaffee erhalten)- ohne Ergebnis. ist ja alles nicht so schlimm, befasse mich nur als Journalist mit diesen Dingen. Und dies ist mir neu. Daher: woran liegt dies.
Vom (PC)Verhalten ist eindeutig ein "externer" Dienst(!) hierfür verantwortlich. Und nun gilt es, dies zu klären. Microsoft wird morgen kontaktet, dann McAfee. Cheers

#78 In welcher Umgebung steht der Computer denn ?
Ist es ein Einzelplatzrechner, so könnte man einige Dienste, die über die lsass.exe arbeiten, deaktivieren. [Systemsteuerung=> Dienste].
Im "Normalfall" hat die lsass.exe nichts im Internet verloren, deswegen getrost den Zugriff blocken.
Windows-Dienste
__________
Durchsuchen --> Aussuchen --> Untersuchen

#79 @moderator Joschi:
danke für Deine Antworten...wir sind den Dingen dicht auf der Spur. So, wie es zur Zeit aussieht, hängt diese Datei in einem Servicepack von MS. Gerade wird abgeklärt, ob wir die ge(ver)änderte zuerst löschen, dann die "alte" Ursprungs-Datei neu aufspielen können- siehe mein erstes Posting). Lt. MS support wäre dann der Spuk vorbei. Die vermuten als Auslöser einen Port-Scan Angriff (gescannte Ports nutzen, um einzudringen), welcher aber fehlgeschlagen ist.... Ich melde mich wieder....hoffentlich mit der Lösung....Rechner (einer von 4 Stück) ist ein Einzelplatz (jeder Re kann für sich allein ins Net - kein sharing), dann gibt es noch ein Netzwerk (intern) - hier erfolgt keine Meldung. Die Warnmeldung erscheint ja (wie bei allen Betroffenen dieses Forums) immer erst dann, wenn ein Rechner online geht. Bis später also

#80 Ein Portscan ist eine Möglichkeit, oder der gezielt Versuch, sich an deinem System anzumelden. Allerdings soltlen dies von vorne herein durch die Firewall unterbunden werden, ansonsten ist diese falsch konfiguriert.

Machen Journalisten nie Absätze, wenn sie schreiben ?
__________
Durchsuchen --> Aussuchen --> Untersuchen

#81 Hallo, Joschi,
melde: Problem erkannt und "vernichtet".
Die LSASS Datei wurde zuerst umbenannt - im System32-, Bsp. LSASS1 - du kannst sie auch anders bezeichnen....nur:MERKEN musst Du sie Dir. Die - sofort vom System erzeugte: lsass-Datei (dann mit Kleinbuchstaben) wurde in den Papierkorb verfrachtet.
Die "alte" Ursprungsdatei "LSASS" (mit dem Ursprungsdatum, also OHNE unfreiwillige Änderungen) aus dem SP importiert. Dann "kopiert" und in den freien Platz der ehemals vorhandenen lsass Datei hinkopiert. Es kann sein, dass bist Du dies bewerkstelligst, die lsass wieder dupliziert wurde. Die haben wir gleich wieder in den Papierkorb versetzt. Dann sofort die richtige hineinkopiert (freies Feld).
Das wars. Keine Fehlermeldung mehr. "LSASS1" habe ich belassen.
Ich hoffe, dies war verständlich. Keine Registry-Änderungen. Keine ominösen Sendeprotokolle zurückverfolgen. Und: alles, bevor McAfee oder MS eine "Lösung" hatten.
Ach so, Jouris schreiben das Script immer zuerst ohne Absätze.....
Werde in PC Welt darüber berichten....
Viel Spaß noch in den Foren und bis bald einmal wieder

#82 Hat diese lsass.exe nun eine andere Versionsnummer ?
Ich verstehe noch nicht, wo die Notwendigkeit lag, diese Datei zu ersetzen.

In meinen Augen ist der Vorgang (Outbound der lsass.exe) nichts außergewöhnliches, solange Dienste die unter ihr laufen auch ansprechbar sind.
Die Dienste -sofern nicht benötigt- auf Systemebene zu beenden erscheint mir als sinvollster Weg.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#83 Ja, die hat jetzt eine andere Versionsnummer, nämlich 5.00.2195.6695.
Die Notwenigkeit, diese Datei zu ersetzen lag daran, dass die "Änderung" - woher auch immer - vom 24.3.04 um 3.28h bewirkt hatte, dass diese Datei immer auf das Internet zugreifen wollte, sobald man online ging. Das war der Zweck dieses Forums. Wenn Ich Dich richtig verstanden habe, war (und ist) es Dir genauso ergangen. Bestimmt - trotz - auch richtig konfiguriertem Firewall. Nun greift diese "neue", ersetzte Datei eben nicht mehr darauf zu (Ursprungszustand).

In unseren Augen ist es schon außergewöhnlich, wenn eine Datei plötzlich und unerwartet auf das Net zugreifen will. Dies bemerkte ja auch eine ganze Reihe von Firewalls in diesem Forum. Für MS war und ist dies auch nicht für diese Datei vorgesehen.
Natürlich ist niemand gezwungen, dies genauso zu sehen....

#84 Hallo!
ich muss schnell schrieben, da lsass.exe mein System immer runterfährt.
Wie kann ich diesen Modus deaktivieren? ich kann keine windows-updates runterladen, da mein System zu schnell runtergefahren wird.
Bitte mailt mir, da ich nicht solange im Forum durchklicken kann, da das System sofort runterfährt.
msblast ist es nicht, denn den habe ich schon im August ausgeschaltet.
Bitte meilt mir!
72privat@gmx.de

Danke!!!!!

Gruß
Joachim

#85 Hallo ,
ich habe seit heute das gleiche Problem wie JoachimKa .
Ich denke, ich habe das Problem gelöst, indem ich heute die alle aktuellen Sicherheitsupdates für Win XP von Microsoft auf meinen Rechner aufgespielt habe.
Seit dem wurde mein Rechner nicht mehr automatisch runtergefahren.

#86 ich habe auch das selbe problem wie die 2 ûber mir, seit heute mitternacht... ich dachte auch das ich das problem gelôst habe, aber nein, nach fast 2 stunden hat er wieder neu gestartet, na toll... hab aber auch alle sicherheitsupdates gemacht...

#87 Hallo Leute,

habe gestern oder vorgestern der lsass.exe den Netzzugriff verweigert. Heute habe ich ihn voll zugelassen. Ein Fataler Fehler! Es dauerte keine zwei Minuten und mein Rechner fuhr wie bei den anderen dreien nach einer Minute herunter (Neustart). Im Text stand als Auslöser die lsass.exe.
Ich habe die Einträge aus der Firewall gelöscht. Als die Datei wieder ins Netz wollte habe ich ihr alles verweigert. Nun fährt mein System auch nicht wieder herunter. Was kann der Auslöser gewesen sein? Das Problem scheint ja erst seit heute zu bestehen (siehe auch die anderen Einträge vor mir). Gibt's nen neuen Wurm oder Virus??

Danke.

#88 Bei mir ist das gleiche problem heute aufgetreten ich hab den zugriff bemerkt als bullguard reagiert hat.erst hab ich notorisch nein gesgt.dann hab ich mir die datei im system32 ordner angesehen und festgestell das sie von windoof ist.als sie dqs nächste mal zugreifen wollte hab ich ja gesagt.FEHLER!!!!
nach 2 min kam die meldung das ein kritischer sytemfehler vorliegt und das system in 1 min runterfährt.
da ich in dem moment grad im i-net gespielt hab hab ich es natürlich glweich meinen partnern mitgeteilt.einer von denen schrieb daraufhin das ich schnell im ausführen folgendes schreiben sollte:shutdown -a
leider war es zu spät der rechner hat neugestartet und ich hab sofort bullguard gesagt er soll diser datei nicht mehr die verbindung gestatten seit dem läuft alles rund.
so jetzt 2 fragen:
-hätte :shutdown -a funtioniert (fralls ich es nochmal brauche)
-is das ein neuer virus oder co. der nur noch nicht bekannt ist

#89

Zitat

Orca[Azur] postete
-hätte :shutdown -a funtioniert (fralls ich es nochmal brauche)

bei mir hats gerade funktioniert

#90 Hallo

Ein Freund von mir hat das gleiche Problem. Er war bei Ebay drin und dann hat sich ein Fenster mit dem Hinweis auf die Lsass.exe geöffnet und das System ist hinunter gefahren.
Was kann man da machen?
Ist ja ähnlich wie die oben genannten Fälle.

thx